パスワードを忘れた? アカウント作成
18951 submission
セキュリティ

日本PKIフォーラムがCNが間違った証明書を使用中 66

タレコミ by FTNS
FTNS 曰く、
紺屋の白袴では済まされない部門

日本PKIフォーラムと言う団体があるそうです。
目的は「アジア共通のPKI基盤を作る」たそうですが...

セミナー申込画面の下の方に目を疑う記述が...

●お申し込みの際の注意事項
申込画面では、下記警告画面が表示されますが、Internet Explorer6以前 の場合「はい」、Internet Exploerer7 の場合「このサイトの閲覧を続行す る」をクリックすれば申込画面が表示されます。

とあり、「セキュリティ証明書の名前が無効であるか、またはサイト名 と一致しません」というエラー画面が....(爆

この「日本PKIフォーラム」は本気でPKIやるつもりなんでしょうか..(笑)

情報元へのリンク
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by virtual (15806) on 2008年02月04日 13時53分 (#1291347)
    それは偽サイトだ。
    • by Anonymous Coward on 2008年02月04日 14時04分 (#1291359)
      高木先生の危惧がついに現実のものになってしまったのですね。
      余りにも多くのサイトが「警告表示時の間違った対処」を載せてきたせいで、
      ついにGeeksまでが正しい判断ができなくなってしまったのですね。

      証明書が間違っているのだから、真っ先に偽サイトである事を疑わなくてはなりません。
      証明書の使い方を間違えているという考えが、先立ってしまっているように思えます。
      親コメント
      • そこであの一言 (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2008年02月04日 14時19分 (#1291376)
        嘘を嘘と見抜けない人には…
        親コメント
        • ・いかにも素人がやっつけ仕事で作ったぽいHTMLファイル
          ・PKIフォーラムを名乗りながら、SSLすらまともに使えていない。
          ・無関係と思われる有名企業の列挙。
          ・独自サーバーではなく、レンタルサーバーを利用している。

          以上の理由からこのサイトは偽者であり、信用するに値しないと結論付けたました。

          このサイトは本物で、SSLの使い方を間違えているだけと思っている皆さんは、
          どのような根拠で本物と結論付けたのでしょうか?
          親コメント
          • by Anonymous Coward on 2008年02月04日 18時36分 (#1291560)
            >このサイトは本物で、SSLの使い方を間違えているだけと思っている皆さんは、
            >どのような根拠で本物と結論付けたのでしょうか?

            理由は下記

            ・いかにも素人がやっつけ仕事で作ったぽいHTMLファイル
            ・PKIフォーラムを名乗りながら、SSLすらまともに使えていない。
            ・無関係と思われる有名企業の列挙。
            ・独自サーバーではなく、レンタルサーバーを利用している。

            偽物サイトを作ろうとする輩の仕業にしてはこれでは仕事が雑過ぎます。
            これは素人に仕事を任せてしまった本物サイトと判断せざるをえません。
            親コメント
            • by Anonymous Coward
              >理由は下記
              >・いかにも素人が
              >・無関係と思われる有名企業の列挙。

              あ、あれ、これ [srad.jp]は本当なの……?
        • Re:そこであの一言 (スコア:1, おもしろおかしい)

          by Anonymous Coward on 2008年02月04日 16時18分 (#1291481)
          見抜くのが面倒だからのSSLなのに・・・
          親コメント
    • by Anonymous Coward
      偽サイトは IPA に通報すればいいんでしたっけ?

      # 偽サイト協会マダー?

  • http://www.japanpkiforum.jp/event/2007/seminar_3.htm
    上記URLの中に、問題のコメントが見出せませんでした。

    まさか、HTMLの中でコメントアウトしただけで誤魔化す、アホな対応とか
    してないよなぁとソースを見ると・・・orz
  • ○○フォーラム (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2008年02月04日 12時59分 (#1291301)
    ○○研究所という名前で、○○をやっつけるのが目的というパターンがあるよね。病原菌研究所みたいな。それなんじゃないの。

    真の目的は、PKI を骨抜きにすることつーか。
    • by Anonymous Coward on 2008年02月04日 17時37分 (#1291525)
      笑い事でなく、本当に PKI が骨抜きになりつつあるって証拠だろ。
      こんな運用が、作る(発注する)側にも使う側にも冗談でなしに浸透しつつある。
      日本ばかりかアジア全域にこの病魔を拡大しようというつもりか?
      まさか安全な通信が普及すると困る何者かの陰謀じゃあるまいし、冗談じゃない。
      親コメント
      • by Anonymous Coward
        均質にへたれだと、均質に疑いの目を掛けていいので、東アジアにはうってつけですね。
    • by Anonymous Coward
      やっぱり、HAL研究所は、近未来に計算機が人類に反旗を翻したときのために、レジスタンスの闘士を養育する秘密組織だったのか。
      エッガーランドをやってたときから、ゲーム以外の別の目的がありそうな気がしてたんだよな。
      あの理不尽な謎解きを全面クリアできる歴戦の古強者であれば、電子頭脳と戦って宇宙船を奪還することくらい、スティーヴン・セガールが単独で乗っ取り犯と戦って飛行機を奪還するくらい容易いであろう。
    • by Anonymous Coward
      それでか。
      メタタグでロボットを拒否ってるあやしさは。
  • by Anonymous Coward on 2008年02月04日 13時35分 (#1291334)
    サイトには、

    申込画面では、下記警告画面が表示されます。これは、当サイトが「共有サーバ」を利用し、SSL認証は当サイトが利用している レンタルサーバーサービスが取得したものを使用していますが,独自のドメイン(japanpkiforum.jp)を使用しているために表示されるものです。 証明書はこのドメイン(レンタルサーバ)に対して発行されているため、「サイト名と一致しません」という警告が表示されてしまいます。 証明書の内容に問題はございませんので、「はい(Y)」をクリックして先に進んで下さい。
    と書いてあるんだけど、申し込み先のリンク先は
    https://webltw23.alpha-lt.net/japanpkiforum.jp/seminar.php [alpha-lt.net]
    になってて、サーバ証明書の発行先ホストはそれとも違う
    sec23.alpha-lt.net
    になっているという。やれやれですわ。

    「これは、当サイトが…ものです。」はどこぞからのコピペですかねえ。

    • 以前にお客のサイト構築で大塚商会に聞いたことがありました。
      サーバ証明書は1台のサーバに1つだそうで、そこはユーザはいじれないとの事でした。
      結局独自証明書は載せられないというので、それっきり大塚とはサヨナラしました。
      自前ドメインでSSLを使いたい場合は大塚商会のサーバは使えませんて事らしい。
      --
      **たこさん**・・・
      親コメント
      • by gtk (14477) on 2008年02月05日 19時09分 (#1292110) 日記
        ワイルドカードな証明書はまた別として、ドメイン自体が全く違うホスト名のSSL証明書を、1つの Apache に複数持たせることって出来ましたっけ?
        「ひとつのIPアドレス、ひとつのポートに対して、ひとつのSSLサーバ証明書」という原則があった気がするので、そこは大塚商会に限らない気がしますですよ。
        親コメント
  • by Kazsa (25846) on 2008年02月04日 13時54分 (#1291348) 日記
    現行のSSL (https) は、SSLのネゴシエーション前にサーバーホスト名が伝えられないので、名前ベースのバーチャルホストがまず使えないんですよね。HTTP 1.1のUpgradeを使ってTLSに切り替えるようになれば可能になるんでしょうが、こちらはまだ使われてないようです。
  • 証明書 (スコア:3, おもしろおかしい)

    by gonta (11642) on 2008年02月04日 22時16分 (#1291655) 日記
    この件でコメントを寄せなかった貴方!スルー力証明書差し上げます。
    #.pemファイル他、SSL関連でトチったことがあり、トラウマがあるけどID。、
    --
    -- gonta --
    "May Macintosh be with you"
  • 解散? (スコア:2, 興味深い)

    by Anonymous Coward on 2008年02月04日 13時16分 (#1291320)
    日本PKIフォーラム入会のお申し込み内から引用・・・(2007年2月2日付け)

    2008年3月31日付けでの解散を予定しております。

    日本PKIフォーラムが解散したら
    アジアPKIコンソーシアムに活動を移すのかな?
    #ざっとしか見てないので何か見落としてたらごめんなさい
    • by Anonymous Coward
      解散の理由として

      これらの活動が2006年度に完了することから日本PKIフォーラムの役割は果たしたと考え、

      とありますな。2007年度は何をしていたのでしょう。
      • Re:解散? (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2008年02月04日 15時08分 (#1291409)
        >とありますな。2007年度は何をしていたのでしょう。

        会費の徴収
        親コメント
  • 直っている。 (スコア:2, 参考になる)

    by Anonymous Coward on 2008年02月04日 17時36分 (#1291523)
    ドメイン名をレンタルサーバーのものにして回避しているようです.
  • また高木先生のネタにされそうだね.

    # っていうか今時 (爆。 ってどうなのよ?
    --
    人は見た目が120%
  • by 127.0.0.1 (33105) on 2008年02月04日 13時01分 (#1291304) 日記
    ・アジアでPKI基盤の共通化……ってなんで全世界でやらずにアジアだけなの?
    ・素人がホームページビルダーを使うとあまりに素人くさいですよ?
    ・会員企業でB会員てことにヤマハ発動機が!
     中国に無人ヘリコプターを不正輸出したところだよね? 大丈夫? (何が
     ていうか、業種的にあまり関係なさげですが何で会員に?
     #その辺は本田技研工業もだけど
    • by shojin (28072) on 2008年02月04日 13時18分 (#1291322) 日記
      理事がNEC、日立、富士通というのも注目かと思う。

      SSL証明書の代金なんて高くても10万円程度だから払えない金額ではないと思うけれど、何で取得しないかなぁ。
      一定数以上のSSL接続に堪えられるサーバーの設置が出来なかったんだろうか。
      それこそ、本気でPKIを普及させる気がないという意味に取れてしまう。

      See Also:
      SSL証明書比較チャート http://sslreview.jp/content/table/index.html [sslreview.jp]
      親コメント
      • Re:注目点 (スコア:3, 参考になる)

        by sakuya-m (14007) on 2008年02月04日 13時30分 (#1291330) 日記
        >一定数以上のSSL接続に堪えられるサーバーの設置が出来なかったんだろうか。
        >>申込画面では、下記警告画面が表示されます。これは、当サイトが「共有サーバ」を利用し、
        >>SSL認証は当サイトが利用している レンタルサーバーサービスが取得したものを使用していますが,

        共用サーバだと1セットのSSL証明書しか使えないので複数の証明書を切り替えられないのです。
        (Host: ヘッダを送る前にSSLネゴしないといけないから)

        解決策は「サーバのIPアドレスを別に用意する」か「サーバの待ち受けポート番号を別に用意する」ことになります。
        xxx.example.jpとyyy.example.jpが同じIPアドレス(の同じマシン)でホスティングされてれば、Wildcardが使えなくもないですが、発行してくれないor対応してないブラウザ(携帯とか)があるので回避できるなら回避したいところ。

        あとは #1291315 [srad.jp]みたいに共用ドメインでアクセスさせるか ですね。
        --
        ---にょろ~ん
        親コメント
        • Re:注目点 (スコア:1, 参考になる)

          by Anonymous Coward on 2008年02月04日 14時19分 (#1291375)
          この前知ったのですがSNI(Server Name Indication) [blogspot.com]という
          解決法もあるらしいです。

          ブラウザの対応が進めばこっちが楽ですね。

          # 後は、IPv6が解決してくれるのかもしれないなぁ、とか。
          親コメント
      • by Anonymous Coward
        これはSSL証明書だけが必要なのではないですよね。専用のIPアドレスも必要です。 SSLではなくてTLSで接続すれば専用IPアドレスは要りませんが。 比較チャート、安定しているとかいないとかでたらめ具合がいいですね。
  • 「CN」 (スコア:0, おもしろおかしい)

    by Anonymous Coward on 2008年02月04日 17時09分 (#1291512)
    そりゃ偽装が当たり前
    • Re: (スコア:0, 余計なもの)

      by Anonymous Coward
      私も素でそう思った。煽りでもなんでもなく。
      #こんだけの企業名そろえといて、これはなぁ…
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...